16 agosto 2018 2:45 PM PDT
Indicatori CVE: CVE-2018-3620, CVE-2018-3646
Intel ha pubblicato un avviso di sicurezza (INTEL-SA-00161) relativo a un nuovo metodo di analisi a canale laterale relativo ai propri processori "L1 Terminal Fault" (L1TF). AWS ha progettato e implementato la propria infrastruttura con protezioni contro questi tipi di attacchi, distribuendo inoltre ulteriori protezioni per L1TF. Tutta l'infrastruttura di host EC2 è stata aggiornata con queste nuove protezioni e non sono richieste azioni da parte del cliente a livello di infrastruttura.
I kernel aggiornati per Amazon Linux AMI 2017.09 (ALAS-2018-1058), Amazon Linux AMI 2018.03 (ALAS-2018-1058) e Amazon Linux 2 (ALAS-2018-1058) sono disponibili nei rispettivi repository. Come best practice generale sulla sicurezza, consigliamo ai clienti di applicare la patch ai loro sistemi operativi o software quando vengono rese disponibili le patch rilevanti per affrontare i problemi emergenti relativi al canale laterale.
Sono state rese disponibili nuove versioni delle AMI Amazon Linux e Amazon Linux 2 che includono automaticamente il kernel aggiornato. Gli ID AMI per le immagini con i kernel aggiornati sono disponibili in Amazon Linux 2018.03 AMI ID, Amazon Linux 2 AMI ID e in AWS Systems Manager Parameter Store.
Nel frattempo, suggeriamo di utilizzare le proprietà di sicurezza e isolamento più forti delle istanze EC2 anziché affidarsi ai margini dei processi o ai container dei sistemi operativi quando i carichi di lavoro vengono eseguiti con privilegi di sicurezza diversi.